gio1981 Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 hallo zusammen, ich hab da mal ein Frage. Ich mache gerade eine Umschulung zum Fachinformatiker Systemintegration. Bin grade im Praktikum und ich weiß noch nicht wirklich was ich als Abschlussprojekt machen soll. Ich hab vielleicht eine Idee wollte nur wissen ob es als Projekt durchgehen würde und zwar folgendes: Ich Arbeite für ein Krankenhaus und die IT-Abteilung ist für mehr als zwei Krankenhäuse zuständig. Momantan ist eine ASA-Firewall zwischen zwei Krankenhäuser aufgeschaltet. Es ist eine 10/100 Mbit's Firewall. Die neue Firewall soll auch nur bestimmte Dienste und Ports zulassen allle anderen sollen nich zugelassen werden. Die Dienste und Ports müssen aber auch noch abgefangen und Dokementiert werden. Da es momentan noch keine Filterung dafür gibt und auch keine Regeln Konfiguriert worden sind. Diese soll jetzt gegen eine 1000 Mbit's ASA-Firewall ausgetausche werden da die Alte leider nicht mehr Aktuelle ist und auch nicht richtig Konfiguriert worden ist. Könnte man sowas als Projekt durch bekommen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
mapr Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 Hallo, eine reine FW-Tauschaktion kommt mir doch reichlich dünn vor. Du implementierst die FW (die ja außerdem schon vorgegeben ist) und konfigurierst im Endeffekt nur Ausnahmen/Regeln. Mir fehlt das die wirtschaftliche und fachliche Tiefe. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
t0pi Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 ist ein guter Ansatz aber evtl. solltest du die Idee noch mit Inhalt füllen: Homeoffice Arbeitsplätze via VPN ... Arztpraxen die nur auf bestimmte Dienste und/oder Ordner zugreifen dürfen etc. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gio1981 Geschrieben 12. Mai 2017 Autor Teilen Geschrieben 12. Mai 2017 der wirtschafttliche Teil stellt sich für mich wie folgt zusammen: da die alte FW nur mit 100 Mbit läuft und es natürlicih alles länger dauert bis es fertig ist, deshalb dachte ich mir mit der neuen FW die ja auch schneller ist und daraus natürlich zeitersparnis ergbit und die mitarbeiter so effektiver und schneller arbeiten könnten. Das sind in der regel arbeitsplätze in der Apotheke, bestimmte abteilungen die auf den anderen Standort auf Freigaben zugreifen oder bestimmte Anwendungen die rein müssen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
neinal Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 Für mich klingt das alles ein bisschen seicht. Das klingt nach "Ich klicke mich da ein bisschen durch. Und dann bin ich fertig"... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gio1981 Geschrieben 12. Mai 2017 Autor Teilen Geschrieben 12. Mai 2017 deshalb bin ich mir da auch nicht ganz sicher ob es reichen würde. aber ich muss auch zuvor die kompletten dienste und die Ports herausfinden die überhaupt zugriff erhalten sollen. momentan ist es ja so das alles zugelassen wird und es keine filterung gibt. ich muss wohl mit wireshark erstmal alles aufzeichnen auf welche ports zugegriffen wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nopp Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 vor 8 Minuten schrieb gio1981: deshalb bin ich mir da auch nicht ganz sicher ob es reichen würde. aber ich muss auch zuvor die kompletten dienste und die Ports herausfinden die überhaupt zugriff erhalten sollen. momentan ist es ja so das alles zugelassen wird und es keine filterung gibt. ich muss wohl mit wireshark erstmal alles aufzeichnen auf welche ports zugegriffen wird. Das zeugt aber auch nicht von einem wirtschaftlichem Teil. Das zählt weiterhin zum technischem Teil. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sullidor Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 Ich habe nach einem Notfall in 12 Stunden eine komplette Firewall zwischen einer Klinik, einer Praxis, und einer Zweigstelle über Dark Fiber selber aus Einzelteilen zusammengebaut, installiert, und konfiguriert. Inkl des kompletten Routing, der Filterung und VPN zu einer weiteren Klinik, die per Teleradiologie in der Nacht die Dienste übernahm. Und ich kann dir jetzt schon sagen, ich finde dies ebenfalls etwas Mau. Da muss dann aber wirklich noch etwas mehr kommen. Und ganz bestimmt solltest du nicht das komplette Netzwerk per Wireshark sniffen. Denn innerhalb des Krankenhauses können sensible Daten, auch unverschlüsselt, unterwegs sein. Und ich kann mir auch nicht vorstellen, dass es da absolut keine Filterung im Netz gibt, wenn bereits eine Firewall existiert. Ein Krankenhaus gehört zur kritischen Infrastruktur und arbeitet mit besonders schützenswerten Daten. Daher gelten besondere Regeln. Eventuell solltest du dich mal mit KRITIS auseinander setzen. Denn wenn es wirklich keinerlei Unterlagen darüber gibt welche Geräte bei euch im Netzwerk sind und wo diese Geräte über welchen Port zugreifen müssen, dann habt ihr sehr viel größere Probleme als eine Firewall am Rande ihrer Kapazität. Thanks-and-Goodbye reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gio1981 Geschrieben 12. Mai 2017 Autor Teilen Geschrieben 12. Mai 2017 vor einer Stunde schrieb Sullidor: Ich habe nach einem Notfall in 12 Stunden eine komplette Firewall zwischen einer Klinik, einer Praxis, und einer Zweigstelle über Dark Fiber selber aus Einzelteilen zusammengebaut, installiert, und konfiguriert. Inkl des kompletten Routing, der Filterung und VPN zu einer weiteren Klinik, die per Teleradiologie in der Nacht die Dienste übernahm. Und ich kann dir jetzt schon sagen, ich finde dies ebenfalls etwas Mau. Da muss dann aber wirklich noch etwas mehr kommen. Und ganz bestimmt solltest du nicht das komplette Netzwerk per Wireshark sniffen. Denn innerhalb des Krankenhauses können sensible Daten, auch unverschlüsselt, unterwegs sein. Und ich kann mir auch nicht vorstellen, dass es da absolut keine Filterung im Netz gibt, wenn bereits eine Firewall existiert. Ein Krankenhaus gehört zur kritischen Infrastruktur und arbeitet mit besonders schützenswerten Daten. Daher gelten besondere Regeln. Eventuell solltest du dich mal mit KRITIS auseinander setzen. Denn wenn es wirklich keinerlei Unterlagen darüber gibt welche Geräte bei euch im Netzwerk sind und wo diese Geräte über welchen Port zugreifen müssen, dann habt ihr sehr viel größere Probleme als eine Firewall am Rande ihrer Kapazität. also es wird nicht das ganze netzwerk gesnifft sonder nur die einen firewall die ist abgegrenzt von den KK. es sind nicht viele dienste auf die zugegriffen wird und das muss ich irgendwie herausfinden. es gehen keine sensibelen daten da durch Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sullidor Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 (bearbeitet) vor 10 Stunden schrieb gio1981: Firewall zwischen zwei Krankenhäuser aufgeschaltet. Nur damit ich es richtig verstehe. Die Firewall regelt die Verbindung zwischen 2 Netzwerken von 2 verschiedenen Krankenhäusern? Mit gemeinsamen Patientendaten? Du hast also über diese Firewall direkten Zugriff von einem Krankenhaus in das Netzwerk des anderen Krankenhauses? Und bisher stellt diese Firewall nur die Verbindung ohne jedwede Filterung zwischen den Krankenhäusern her? Hast du da eine VPN-Verbindung? Eine (Dark) Fibre-Leitung? Eine völlig andere Art von Verbindung? Und wenn es eine VPN-Verbindung sein sollte, hat diese Firewall also auch einen Zugriff über das Internet? vor 6 Stunden schrieb gio1981: also es wird nicht das ganze netzwerk gesnifft sonder nur die einen firewall die ist abgegrenzt von den KK. Inwiefern ist diese Firewall denn abgegrenzt vom Krankenhaus? Und wir reden immer noch von der Firewall, die 2 Krankenhausnetzwerke voneinander trennt? Liegt diese Firewall in einem VLAN? In einem anderem Netzbereich, der bereits vorfiltert? Wie läuft es da mit dem Routing? Bisher wissen wir nur, du willst dich vor eine Firewall klemmen, dort sniffen und sie dann austauschen. Hat die Firewall oder der Switch einen Mirrorport, wo du den PC anschließen kannst? Oder nimmst du dir einen Hub, den du vor die Firewall klemmst? Oder willst du deinen PC nur ins gleiche Netzwerk klemmen? Aber letztendlich hast du vor sämtlichen Netzwerkverkehr mitzuschneiden, der an dieser Firewall ankommt (und eventuell in das Internet, zumindestens aber in ein anderes Krankenhaus wandert) und von dieser Firewall in das normale Intranet geht? vor 6 Stunden schrieb gio1981: es sind nicht viele dienste auf die zugegriffen wird und das muss ich irgendwie herausfinden. es gehen keine sensibelen daten da durch Du sagst hier es sind nicht viele Dienste, auf die zugegriffen wird. Weißt aber auch nicht auf wieviele und auf welche Dienste? Wenn 2 Krankenhäuser miteinander kommunizieren, würde ich erstmal schlicht von Patientendaten ausgehen. Was anderes würde eher keinen Sinn machen. Wie kannst du also sicher sein, dass es sich hierbei nicht um Dicom oder HL7-Daten handelt? Und aus Erfahrung weiß ich, dass die meisten Systeme diese Daten unverschlüsselt innerhalb des Intranets übertragen. Die werden z.B. bei einer VPN-Verbinung erst mit dem VPN verschlüsselt, am Empfangs-VPN-Knoten wieder entpackt und dort im Intranet unverschlüsselt weitergesendet. Es sei denn es handelt sich hier "NUR" um (VPN)Verbindung für die interne IT, welche sich für den Support in das andere Krankenhaus schalten will. In dem Fall ist es aber nicht einmal im ungefähren Bereich eines Abschlussprojektes. Und du musst auch nicht sniffen. Die Ports vieler verwendeten Tools werden dir die meisten Admins hier aus dem Kopf nennen können Und dann kommen wir zu einem weiterem Problem. Wie lange willst du sniffen und hast du die nötige Erfahrung wichtiges und unwichtiges zu unterscheiden? Denn Filtern wird dir hier wenig helfen. Da du hier nicht nach etwas spezifischem suchst, sondern den kompletten aufgezeichneten Netzwerkverkehr.auswerten musst. Bereits nach wenigen Stunden ist es aber meist bereits so viel, dass es Tage dauern kann dies alles auszuwerten. Besonders wenn du noch nicht in der Lage bist eine Dicom-Anfrage von einen einfachen ARP-Request oder einem Broadcast zu unterscheiden. Und was ist dann mit Geräten die nur Nachts laufen oder nur alle paar Wochen benötigt werden? Gerade in Krankenhäusern kommt dies oft vor. Oder was ist mit Konstanzprüfungen? Die werden teilweise 1x am Tag oder größere 1x im Monat ausgeführt. Die sind aber nötig, damit ein Krankenhaus einem anderem Krankenhaus Dienste wie Teleradiologie anbieten kann. Wenn die Kette unterbrochen ist, kann die Erlaubnis entzogen werden. Und ich hab bereits 2 solcher Prüfungen miterlebt. Aber wie ohne die genaueren Umstände und die Funktion zu kennen, kann ich hier auch nur im Dunkeln stochern. Bearbeitet 12. Mai 2017 von Sullidor Asura und Thanks-and-Goodbye reagierten darauf 2 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 12. Mai 2017 Teilen Geschrieben 12. Mai 2017 vor 10 Stunden schrieb gio1981: Es ist eine 10/100 Mbit's Firewall. 100 mbit auf einer WAN-Strecke ist schon eine Hausnummer. Zwei Rückfragen: besteht denn generell der Bedarf nach mehr Bandbreite? Und bietet die WAN-Strecke denn überhaupt mehr Bandbreite an? Sullidor reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gio1981 Geschrieben 15. Mai 2017 Autor Teilen Geschrieben 15. Mai 2017 ich suche mir dann wohl doch lieber ein anderes Projekt aus. nach den Rückmeldungen hier im Forum scheint es kein Wirkliches Projekt zu sein. danke an alle die sich hier gemeldet haben. ich melde mich dann wenn ich etwas neues habe Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Asura Geschrieben 15. Mai 2017 Teilen Geschrieben 15. Mai 2017 Ich vermute, dass das Projekt durchaus etwas sein kann, wenn du alles von Sullidor beachten und planen würdest/müsstest. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gio1981 Geschrieben 17. Mai 2017 Autor Teilen Geschrieben 17. Mai 2017 Problem ist das ich nicht wirklich da dran gelassen werde, und die Leute selber nicht wissen was mit der Firewall geschehen soll. Ich sehe das auch so wie @Asura das das Projekt durchaus interessant ist aber mir fehlen etliche Informationen und Berechtigungen dafür. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sullidor Geschrieben 17. Mai 2017 Teilen Geschrieben 17. Mai 2017 vor 2 Stunden schrieb gio1981: Problem ist das ich nicht wirklich da dran gelassen werde, und die Leute selber nicht wissen was mit der Firewall geschehen soll. Ich sehe das auch so wie @Asura das das Projekt durchaus interessant ist aber mir fehlen etliche Informationen und Berechtigungen dafür. Ich habe Jahrelang in medizinischer Umgebung gearbeitet und FISIs ausgebildet. Ich hatte auch Praktikanten einer Umschulung. Ich wollte dir nur aufzeigen, dass bei so einer Sache viel mehr dahinter steckt als du ahnst. Und ohne die richtigen Informationen, kannst du ganz schnell in eine Situation kommen, in der du plötzlich ein großes Problem hast, weil du, trotz der fehlenden Informationen, zum Sündenbock gemacht wirst. Ich kann dir anbieten, mich per PM anzuschreiben wenn du diesbezüglich Fragen hast. Eventuell könnte ich dir im Laufe eines Gespräches auch einige Ideen für ein Projekt machen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.